Vulnerabilidad en phpMyFAQ (CVE-2024-22202)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

05/02/2024

Última modificación:

13/02/2024

Descripción

phpMyFAQ es una aplicación web de preguntas frecuentes de código abierto para PHP 8.1+ y MySQL, PostgreSQL y otras bases de datos. La página de eliminación de usuarios de phpMyFAQ permite a un atacante falsificar los detalles de otro usuario y, a su vez, presentar un caso de phishing convincente para eliminar la cuenta de otro usuario. La interfaz de esta página no permite cambiar los detalles del formulario; un atacante puede utilizar un proxy para interceptar esta solicitud y enviar otros datos. Al enviar este formulario, se envía un correo electrónico al administrador informándole que este usuario desea eliminar su cuenta. Un administrador no tiene forma de distinguir entre el usuario real que desea eliminar su cuenta o el atacante que lo hace para una cuenta que no controla. Este problema se solucionó en la versión 3.2.5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno